騰訊安全:弱口令密碼再遭爆破 新型木馬瞄準企業SQL資料庫下手

騰訊安全發表於2019-11-22

部分網友在設定密碼時會有這樣的習慣,在多個平臺使用同樣的密碼,或僅使用數字字母單一字元,用個人姓名生日進行組合等。儘管這樣的弱口令密碼設定方式便於聯想記憶,但也給不法分子作惡留下了可乘之機。如果掌控企業重要伺服器的網管也有這樣的壞習慣,對於企業而言很可能意味著一場安全災難。不法黑客往往會利用弱口令,通過密碼字典進行猜解爆破登陸,給使用者隱私、企業安全帶來嚴峻挑戰。


近期,騰訊安全御見威脅情報中心監測到一例利用弱口令針對SQL資料庫的爆破攻擊事件。攻擊者掃描SQL伺服器,爆破成功後根據系統環境在被攻陷伺服器內植入安裝多個遠端控制木馬,且建立多個管理員使用者,對企業業務系統的執行和機密資料資訊保安造成極大威脅。據監測資料顯示,目前攻擊者已控制數百臺伺服器和網站。


目前,騰訊御點終端安全管理系統已全面攔截並查殺該作惡團伙。同時,騰訊安全提醒企業網管務必提高安全意識,資料庫被不法黑客暴力破解會導致企業關鍵業務資訊洩露,建議儘快安裝伺服器漏洞補丁,並停止使用弱口令,以防作惡團伙攻擊,確保企業資料和後臺服務的安全性。

騰訊安全:弱口令密碼再遭爆破 新型木馬瞄準企業SQL資料庫下手

(圖:不法黑客攻擊網站示例)


經騰訊安全技術專家分析,該團伙不僅具備高超的攻擊手段,而且還會開啟“隨機應變”模式。在釋放病毒木馬的同時,還會根據中招使用者不同的系統環境開啟攻擊。攻擊者首先會針對普通Windows伺服器下發TeamView(一款被廣泛使用的遠端控制軟體)實施遠端控制,對Web伺服器則在植入Webshell後,對網站進行批量掛馬,這就相當於留下一把可以隨時進出企業伺服器的“鑰匙”,使企業關鍵伺服器成為不法黑客深入攻擊的跳板。截至目前,該團伙木馬傳播整體呈現小幅爆發趨勢,已有超過40家網站被植入300餘個Webshell。


此外,該木馬還展現出極強的“擴散力”。一旦爆破入侵成功,即可獲取電腦的IP地址、作業系統版本等基本資訊,隨後利用提權漏洞採取進一步的攻擊行動,以便完全控制企業資料庫伺服器,竊取大量使用者個人隱私資訊。


當前越來越多的企業被捲入資料洩露行列,一旦公司資料外洩,不僅損害使用者個人隱私,企業還可能面臨一系列失信危機。對於企業而言,如何抵禦不法黑客攻擊,防禦企業資訊洩露成為日常網路安全建設工作的重中之重。


為此,騰訊安全反病毒實驗室負責人馬勁鬆提醒企業使用者應對新型挖礦木馬對SQL資料庫的爆破攻擊提高警惕,建議使用者及時修補伺服器安全漏洞,並修改1433等埠的預設訪問規則,加固SQL Server伺服器的訪問控制。使用騰訊御點終端安全管理系統的漏洞修復功能,及時修復系統高危漏洞;採用高強度密碼,切勿使用“sa賬號密碼”等弱口令,防止黑客暴力破解;同時,推薦部署騰訊御界高階威脅檢測系統檢測可能的黑客攻擊,通過對企業內外網邊界處網路流量的分析,感知漏洞的利用和攻擊,全方位保障企業使用者的網路安全。

騰訊安全:弱口令密碼再遭爆破 新型木馬瞄準企業SQL資料庫下手

(圖:騰訊御界高階威脅檢測系統)

相關文章